Blog

LA EMPRESA: LOS CERTIFICADOS DE TRABAJO

16.03.2018 20:19
 
He sido testigo de la molestia que causó recibir un certificado de trabajo, la interesada decía que era un documento muy simple ya que sólo contenía los nombres y el período en el que laboró en la empresa. Lo cierto es que para una futura contratación algunos empleadores exigen sustentar no sólo los períodos trabajados sino también su experiencia y los puestos para los que ha sido contratado.
 
Está claro que en Perú el empleador está obligado a entregar un certificado laboral al personal cesado dentro de las 48 horas de terminada la relación laboral pero no está en la obligación de describir el puesto desempeñado ni su rendimiento y comportamiento. Sin embargo, el interesado podría solicitar un certificado más detallado y su pedido podría ser evaluado por el área de Recursos Humanos que si lo considera pertinente lo puede entregar, más aún cuando la persona que ha dejado de laborar a la empresa ha prestado servicios desempeñando un buen cargo.
 
Un certificado de trabajo no es determinante para conseguir un nuevo empleo, es una referencia que sumada a otros certificados, experiencia comprobada y una buena entrevista de trabajo podría abrir nuevas posibilidades y permitir estar frente a un nuevo empleador. Nada cuesta hacerle ese favor a un trabajador que se esmeró por cumplir con la empresa. 
 

VULNERABILIDADES DE APLICACIONES WEB: LISTAS BLANCAS INAPROPIADAS

15.03.2018 13:01
Tomemos el siguiente archivo .php:
 
<?php
$dir = $_GET['carpeta'];
include($dir . "/accion.php");
?>
 
La intención del programador era que el usuario ingresara el valor "inicio" o "fin" para elegir entre dos acciones o funciones distintas, cada una ejecutada por un script PHP ubicado en una carpeta diferente: 
 
inicio/accion.php
fin/accion.php
 
Sin embargo si en el mismo directorio que "inicio/" y "fin/" se encontrara el subdirectorio "administrador/" con otro archivo "accion.php", el usuario podría ingresar como parámetro "carpeta" el valor "administrador" y ejecutar una acción reservada al mismo. 
 
Hemos dado un ejemplo extremadamente sencillo, el lector podrá complicarlo a gusto. Lo importante es ver que el desarrollador intentó limitar los archivos a ejecutar pero no lo hizo de la forma apropiada. El atacante incluso podría aprovechar alguna vulnerabilidad para crear o subir un archivo con el nombre de "accion.php" e ingresar una ruta totalmente diferente a la esperada:
 
https://127.0.0.1/inclusion-local-archivos/inclusion.php?accion=Unidad de disco:\xampp\htdocs\directorio\subidos\archivos-subidos  
 
El archivo sería incluido y ejecutado sin inconvenientes.
 

LA EMPRESA: EL VERDADERO LIDERAZGO REQUIERE DE PACIENCIA

13.03.2018 19:19
 
En los últimos días he escuchado decir que determinada área de la empresa en la que trabajo no avanza o tiene conflictos y que eso se debe a la falta de compromiso de los involucrados. ¿Qué tan determinante puede ser esto cuando hablando con el personal el mismo expresa que siente que su trabajo no es reconocido?
 
La empresa les provee de celulares, PCs, cuentas de correo electrónico, tecnología para el desarrollo de su trabajo . Están comunicados y conectados, pero no logran comprometerse o es muy poco lo que se sientan comprometidos.
 
¿Si tuvieran sueldos más altos, se lograría mayor compromiso? Pienso que no. Si dudas un buen sueldo es importante, pero creo que no es suficiente para lograr que el personal se sienta motivado y satisfecho en el quehacer diario de su trabajo. Ayudaría más si se reconocieran los logros y si hubiera mejoras en sus condiciones de trabajo.
 
Lo más importante de una empresa es su personal y para que el mismo se sienta parte de la empresa, los jefes deben lograr el trabajo en equipo, deben generar situaciones donde sus colaboradores participen de una manera más activa y también puedan dar sus aportes. También es importante comunicar la misión, visión y valores de la empresa.
 
El personal no es una máquina en la que se colocan insumos y de la cual se saca el producto. Es un grupo de personas a las que hay que integrar en un equipo de trabajo. La motivación será mucho mayor si cada individuo se siente valorado, acompañado en su crecimiento, si cada empleado es capacitado y asesorado por los miembros más experimentados del grupo. Un ambiente de trabajo agradable, el reconocimiento de un logro y el análisis amable de un fracaso contribuirán a alcanzar las metas fijadas. Ser patrón o jefe es mucho más que poner objetivos y pagar un sueldo; un buen líder sabe renunciar a la prisa para construir un grupo de trabajo cohesionado, animado y capaz.
 

VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (III)

12.03.2018 20:21
 
Queremos llamar la atención sobre otra posibilidad que tiene el pirata informático de usar los archivos .htaccess cuando logra subirlos a un sitio.
 
Tomemos la siguiente línea en uno de estos archivos .htaccess:
 
php_value auto_append_file "Unidad de disco:\xampp\htdocs\pruebas\tmp\apendice.php"
 
Dentro de la carpeta "tmp\" (u otra) el hacker subirá o creará (o incluso moverá a la misma) el siguiente archivo "apendice.php":
 
<script>alert('Desfigurado');</script>
 
Ahora cada vez que se ejecute un archivo .php ubicado dentro de la carpeta "pruebas\" ("Unidad de disco:\xampp\htdocs\pruebas\") también se ejecutará el código "<script>alert('Desfigurado');</script>" que se agregará temporariamente al archivo que se esté ejecutando, provocando - en este caso - una desfiguración o "defacement" de la página. Demás está decir que el código agregado podría tener alguna funcionalidad mucho peor.
 
Recomendamos usar los archivos .htaccess sólo cuando no hay otro recurso disponible o como una medida realmente transitoria. Deben ser un recurso extremo. Habrá que aprender a usar los archivos de configuración y fijar las distintas directivas de configuración ahí. 
 
Dimos sólo dos ejemplos del aprovechamiento que puede hacer el pirata informático de los ficheros .htaccess. Las posibilidades que tiene el hacker para sacarles provecho son muchísimas y algunas pueden tener consecuencias muy graves.
 
Recomendamos encarecidamente deshabilitar el uso de estos archivo, los mismos constituyen un peligro que puede desembocar en resultados dramáticos. 
 

LA ROYAL NAVY ESTÁ PERDIENDO BUQUES DE ESCOLTA

11.03.2018 20:02
 
En nuestro artículo del 5 de enero de este años nos preguntábamos si el programa británico de equipamiento militar es viable (geoestrategia.webnode.es/news/¿el-programa-britanico-de-equipamiento-para-la-defensa-es-viable/). Concluíamos el artículo diciendo: "La mancha roja en el presupuesto de defensa del Reino Unido debe ser reducida a menos que se quiera llevar a Gran Bretaña a la bancarrota. No alcanzará con vender algunos buques usados, dar de baja algunos helicópteros y fusionar tropas de élite. La prueba está en que hoy el parlamentario británico John Woodcock usó su cuenta de Twitter para expresar la duda de que se pueda construir el séptimo submarino de ataque de la Clase Astute".
 
Se sabe que la construcción del séptimo submarino de la Clase Astute sigue en peligro de ser cancelada. No faltan quienes afirman que toda la Clase Dreadnought de submarinos portadores de misiles balísticos con ojivas nucleares corre ese mismo peligro. El tiempo dirá, lamentablemente son muchos los intereses en juego y mucho el dinero ya gastado para el desarrollo y el comienenzo de la construcción de estos SSBN.
 
¿Pero qué hay de lo que la Royal Navy ya tiene? Visitamos la página web oficial de la Marina Real británica y cuatro de las fragatas Tipo 23 figuran como "en mantenimiento y pruebas de mar". Dos figuran como "estacionadas en la Base de Devonport", dos como "escoltas de disponibilidad inmediata", una como "llevando a cabo ejercicios de entrenamiento" para volver a operaciones de primera línea y otra como "en aguas del Reino Unido". Si la información es exacta, sólo tres de las trece fragatas Tipo 23 - la espina dorsal de la Royal Navy - están desplegadas fuera del Reino Unido. 
 
Cuando el pasado 22 de febrero un grupo de tareas de buques espías rusos entró en aguas de interés británicas, el mismo fue escoltado por un buque de protección pesquera que abandonó sus tareas específicas para vigilar a las naves rusas. Es cierto que el buque era perfectamente capaz de llevar a cabo la misión encomendada pero también es cierto que abandonó las tareas que estaba realizando para poder hacerlo. Por otra parte la política de la Royal Navy siempre había sido la de emplear buques con mayor poder de fuego para estas operaciones que últimamente suelen quedar en manos de cazaminas y patrulleros.
 
Las cuentas no cierran y hay que economizar. Los buques no navegan, son canibalizados y se van deteriorando. Gran Bretaña es una nación insular y no debería darse el lujo de perder buques de escolta pero lo está haciendo. Los portaaaviones y SSBN están resultando un lujo caro. ¿De qué les sirven dos portaaviones si no tienen aeronaves de ala fija ni escolta adecuada? 
 

VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (II)

09.03.2018 18:24
 
Antes de seguir avanzando con la descripción de más vulnerabilidades de aplicaciones web queremos profundizar en una que ya hemos visto: la Subida de archivos peligrosos. Solemos creer que todos los archivo que suben los piratas informáticos cuando se encuentran con esta vulnerabilidad son puertas traseras y no es así. Una de las acciones que suelen tomar cuando tienen la posibilidad es la de subir archivos .htaccess. Cuando se logra subir un archivo .htaccess el mismo reemplazará automáticamente al que antes se hallaba en el mismo directorio. Esto permite a los hackers tomar diferentes líneas de acción. Como solemos hacer, mostraremos un ejemplo bastante benigno:
 
Un archivo .htaccess con la siguiente línea:
 
Redirect 301 / https://geoestrategia.webnode.es/
 
permitirá redirigir el tráfico desde el directorio en que se encuentre a otro sitio web, en este caso el nuestro, lo cual serviría - por ejemplo - para sumar visitas.
 
Para evitar esta posibilidad conviene deshabilitar por completo los archivos .htaccess.
 
Tomemos el caso de un servidor instalado para el aprendizaje de su administración, en nuestro caso un servidor preconfigurado Apachefriends XAMPP. Busquemos las siguientes líneas en el archivo httpd.conf ("Unidad de disco:\xampp\apache\conf\httpd.conf"):
 
DocumentRoot "Unidad de disco:/xampp/htdocs"
<Directory "Unidad de disco:/xampp/htdocs">
 
Algunos renglones por debajo de ellas encontraremos un comentario muy claro:
 
# AllowOverride controls what directives may be placed in .htaccess files.
 
Lo traducimos para el lector
 
"AllowOverride controla qué directivas pueden ser ubicadas en los archivos .htaccess".
 
Apenas unas líneas debajo de la anterior encontramos la siguiente directiva:
 
AllowOverride All
 
Cambiamos All por None y queda así:
 
AllowOverride None
 
Las directivas de los archivos .htaccess que pudiera haber quedarán sin efecto. Borramos esos archivos y la tarea queda lista.
 

LA EMPRESA: LOS DESPIDOS NO DEBERÍAN SER INNECESARIAMENTE TRAUMÁTICOS

07.03.2018 21:27
 
En la última semana hemos visto con inquietud y sorpresa el despido de personal calificado de confianza. 
 
Esta labor no ha sido fácil para el Jefe de RRHH, quien tuvo que dar la noticia al finalizar el día del cese ya que pensó que al tratarse de un colaborador de confianza, esta noticia debería ser comunicada por el Gerente.
 
Esta situación fue más que incómoda para el despedido ya que le indicaron que como laboraba hasta ese día, debía hacer entrega de su cargo de manera inmediata.
 
Sin duda la imagen que tiene ahora esa persona no es muy buena y de alguna manera se ha dañado al equipo del que formaba parte como jefe de área.
 
Estas decisiones de despido, si bien son evaluadas, no deberían ser tan traumáticas ya que forman parte de un proceso en el que las partes deberían beneficiarse: la empresa poniendo fin al trabajo de una persona que considera que ya no era suficientemente productiva y el trabajador que deja el cargo, que se involucró por meses, que cumplió con metas impuestas y que fue apoyado por los logros obtenidos. Ese trabajador puede (y debería) irse con una buena imagen de la empresa.
 
Creo que se debe considerar al personal despedido y en todo caso evitar que el hecho sea una sorpresa: se le puede dar plazos para cumplimiento de metas, informarle sobre su bajo rendimiento y por último - si esa es la decisión - comunicarle la decisión con un preaviso prudente para que pueda hacer entrega de su cargo. Lo cortés no quita lo valiente y ser empresario no debería quitar el hecho de ser humano y brindar a todos un trato correcto, de ser posible, amable.
 

VULNERABILIDADES DE APLICACIONES WEB: LISTAS NEGRAS INCOMPLETAS

07.03.2018 09:42
 
Si se utiliza una lista negra incompleta como mecanismo de seguridad el filtro puede permitir que valores peligrosos pasen a la aplicación posibilitando diferentes ataques.
 
Veamos un caso concreto:
 
<?php
$html = $_POST["nombre"];
 
$filtrar = array("<script>", "</script>");
$html = str_replace($filtrar, "", "$html");
 
echo 'Bienvenido '. $html . "!";
?>
 
Si como "nombre" ingresamos "<script>alert(1)</script>" les etiquetas "<script>" y "</script>" serán filtradas pero si ingresamos "<scr<script>ipt>alert(1)</sc</script>ript>" o "<video><source  onerror="alert('probado')">" lograremos ejecutar un ataque de Cross-site Scripting. Hoy por hoy para ver el efecto (¡para estas etiquetas!) muy probablemente debamos desactivar la protección contra xss del navegador, pero aún así habrá otras etiquetas (en rigor otras cargas útiles) que podamos inyectar para vencer la defensa en profundidad contra este ataque.
 
Las listas negras incompletas pueden dar lugar a vulnerabilidades muy diferentes tal como vimos en: geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-inyeccion-de-comandos-iii/Precisamente la inyección de comandos es uno de los ataques que por su alto impacto dio lugar a las técnicas de evasión de filtros más ingeniosas. 
 
Las listas negras suelen ser un elección de valor muy dudoso a la hora de prevenir ataques y cada uno de ellos suele tener mejores formas de ser impedido o al menos muy dificultado. 
 

VULNERABILIDADES DE APLICACIONES WEB: ENVÍO DE CONTRASEÑA USANDO EL MÉTODO GET

28.02.2018 17:32
 
Algunas aplicaciones envían las contraseñas usando el método GET. La información confidencial de las URL puede quedar registrada en varias ubicaciones como son el navegador del usuario, el servidor web (por ejemplo, en "access.log" de Apache) y cualquier servidor proxy entre los dos puntos finales. Las URL también pueden mostrarse en pantalla, marcarse como "favoritos" o enviarse a otros por medio del correo electrónico u otro medio similar.
 
Graficamos. El siguiente script "adelante.html":
 
<html>
<body>
 
<form name="Login" method="get" action="atras.php">
Usuario: <input type="text" name="usuario" />
<br /><br />
Clave: <input type="password" name="clave" />
<br /><br />
<input type="submit" name="enviar" value="Enviar" />
</form>
 
</body>
</html>
 
generará la siguiente URL:
 
https://127.0.0.1/directorio/subdirectorio/atras.php?usuario=Santiago33&clave=dejamepasar#4T_1&enviar=Enviar
 
Para resolver la vulnerabilidad simplemente cambiamos el método get por el método post:
 
<form name="Login" method="post" action="atras.php">
 
La URL será:
 
https://127.0.0.1/directorio/subdirectorio/atras.php
 
Generalmente esta vulnerabilidad se clasifica como de severidad media. A nuestro juicio eso es algo muy relativo. Si un pirata informático lograra hacerse de la contraseña pasada por el método "get" de un administrador las consecuencias podrían ser graves.
 

LA EMPRESA: LA GRATA HORA DEL ALMUERZO

27.02.2018 21:41

 

Hay momentos en los que nos vemos abrumados de trabajo y retardamos o recortamos la hora de almuerzo pensando que es la manera de avanzar o terminar el trabajo pendiente. Esto no es tan cierto, ya que si bien podemos lograr lo acometido, por cansancio podemos cometer errores e incluso perjudicar nuestra salud.
 
Es importante desconectarse del trabajo, cambiar de ambiente, parar por unos momentos las actividades laborales, esto ayudará con el estrés.
 
Las empresas deben crear un espacio para que sus colaboradores puedan ocuparlo a la hora del almuerzo  ya que si no lo tienen es probable que almuercen delante de su computadora y haciendo espacios en medio de sus escritorios, situación que no se ve bien frente a algún visitante que pueda llegar y sobre todo no es saludable para los empleados y la empresa que conseguirá personal fatigado, obeso y cansado.
 
En todo caso nos toca a nosotros respetar nuestra hora de almuerzo, pensar en nuestro cuerpo y nuestra salud, que es primordial. Además de ingerir alimentos saludables aprovechemos el momento para distraernos con los compañeros de trabajo y alejarnos de los asuntos laborales.
<< 111 | 112 | 113 | 114 | 115 >>

Etiquetas

  1. portaaviones
  2. Wehrmacht
  3. Luftwaffe
  4. Tempest
  5. blindados
  6. bombarderos
  7. artillería
  8. Brasil
  9. submarinos
  10. RAF
  11. patrulleros
  12. British Army
  13. ejercicios
  14. misiles y cohetes
  15. IMARA
  16. EA
  17. portahelicópteros
  18. clase Queen Elizabeth
  19. F-35
  20. avisos
  21. fragatas
  22. tipo 45
  23. destructores
  24. helicópteros
  25. FAA
  26. Orion P3
  27. COAN
  28. ARA
  29. Royal Navy
  30. Malvinas